Jump to content
Станислав

Настройки безопасности сервера

Recommended Posts

В этой теме рассмотрим необходимые настройки сервера видеонаблюдения, построенного на базе система «Линия», при доступе к нему двух и более лиц с разными правами.

 Идеальным вариантом  в данном случае будет ограничение физического доступа к серверу. Работа при этом осуществляется через сеть, с помощью клиентской части программного обеспечения Линия, клиентов для мобильных устройств, веб интерфейса и т.д.  под ограниченной учётной записью (пользователи, созданные под масками “Начальник охраны” и “Охранник”).

Share this post


Link to post
Share on other sites

Пользователи «Линии»
 

По умолчанию в программном обеспечении Линия предустановленны три пользователя с разными правами, после установки их необходимо переименовать и/или задать пароль.
1.jpg
Задаём пароль администратору системы  Линия
2.jpg
Этого пользователя нельзя удалить, нельзя изменить его права или редактировать список доступных устройств. Работа  с правами этого  пользователя должна осуществляться только системным администратором или установщиком системы.
Удаляем пользователей “chief” и “guard” 
3.jpg
и создаём пользователя для удалённого рабочего места. Именно под ним рекомендуется работа операторов, охранников и т.д. Установка пароля желательна.
4.jpg 5.jpg
Права пользователя к возможностям системы, доступным устройствам  и виды настраиваются в соответствии с требованиями к функциональности системы, с учётом безопасности и целесообразности. Доступ к администрированию системы рекомендуется закрыть.

 

Отдельно следует рассмотреть пользователя, который будет использоваться для трансляции на сайте. Его права в системе  должны быть минимальны. Поскольку имя и пароль содержатся в коде страницы, необходимо исключить возможность администрирования,  быстрой настройки камер и просмотра архива  из Наблюдательного поста при авторизации под данным пользователем. Так же стоит убедиться, что ему доступны только разрешенные камеры и микрофоны. Пример настройки прав:
6.jpg
 

Share this post


Link to post
Share on other sites

Удалённое рабочее место оператора

 

Подразумевает подключение с помощью  «Наблюдательного поста»  и/или «Просмотр архива»  к серверу по сети. Права пользователя устанавливаются  с учётом безопасности и целесообразности, доступ к администрированию рекомендуется закрыть. Оптимальным вариантом защиты ПК является ограничение доступа к операционной системе.
 

Share this post


Link to post
Share on other sites

Совмещение  сервера и рабочего места оператора
 
Использовать данный вариант допустимо только в случае отсутствие других. Необходимо настроить запуск наблюдательного поста под ограниченной учётной записью
7.jpg
Или настроить запрос имени пользователя и пароля
8.jpg
Рекомендуется использование системного шелла (см. использование  запрета доступа к операционной системе), если это не возможно и ПК используется для работы необходимо выполнить дополнительные настройки (на примере Windows 7 professional x32):
1)    Создать нового пользователя операционной системы с ограниченными правами.  Оператор должен работать  именно под этим пользователем. Сделать это можно следующим образом -  Пуск -> Панель управления -> Учетные записи пользователей и семейная безопасность
9.jpg
Выбрать «Учетные записи пользователей»
10.jpg
«Управление другой учетной записью»
11.jpg
«Создание учетной записи»
12.jpg
Далее необходимо выбрать имя учетной записи (в нашем случае это user) и вписать в соответствующее поле, а также указать тип учетной записи « Обычный доступ» и нажать «Создание учетной записи»
13.jpg
Задайте  пароль новому пользователю и администратору компьютера, не используйте пароли типа «qwerty», «123456», «55555» и т.д.

2)    Ограничить доступ новому пользователю (в нашем случае «user»)  к каталогам с архивами «Линии» средствами операционной системы. 
Выберите папку  с архивом (например, D:\videodata) -> свойства -> безопасность
14.jpg
 Нажмите «Дополнительно»  -> «Изменить разрешения»
15.jpg
Нажмите «Добавить» -> имя пользователя (в нашем случае «user») -> «проверить имена»
16.jpg
Нажмите «Ок» -> Применять: «Только для этой папке» -> Запретить «Содержание папки / Чтение данных (readdata)» ->«Ок»
17.jpg
Сохраните изменения. Такие же настройки необходимо  сделать для остальных каталогов архива и папок «C:\Program Files\DevLine» , «C:\ProgramData\DevLine»
19.jpg

Дополнительно можно скрыть диски, содержащие каталоги архива, из проводника Windows. Сделать это можно через реестр, примеры.

Share this post


Link to post
Share on other sites

Использование  запрета доступа к операционной системе

Данное решение можно использовать  на сервере (при необходимости),  при совмещении  сервера и рабочего места оператора (рекомендуется), на рабочем месте оператора (рекомендуется). Его суть сводится к использованию исполнительного файла «observer.exe» (Наблюдательный пост, или Просмотр архива, при ключе -a)  вместо стандартного «еxplorer.exe».

18.jpg

При этом дополнительно будут заблокированы комбинации «CTRL+SHIFT+ESC» и «CTRL+ALT+DEL». Настройка действительна для всех пользователей ПК.
 

Наверх

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×